恶意软件利用GoogleOAuth端点泄露Google帐户密码
令人担忧的是,多个信息窃取恶意软件家族正在利用名为“MultiLogin”的未记录的GoogleOAuth端点来恢复过期的身份验证cookie,从而提供对用户Google帐户的未经授权的访问。会话cookie的使用寿命有限,通常会过期,从而防止长时间未经授权的访问。
然而,威胁行为者发现了一个零日漏洞,允许他们重新生成过期的Google身份验证cookie,即使在合法所有者重置密码或注销后也是如此。一个名为PRISMA的威胁行为者最初披露了该漏洞,并在Telegram上分享了恢复过期cookie的方法。
CloudSEK研究人员进一步调查了此事,发现该漏洞利用了“MultiLogin”端点,旨在跨各种Google服务同步帐户。被滥用的API端点是GaiaAuthAPI的一部分,接受帐户ID和身份验证登录令牌的向量,使威胁行为者能够提取关键信息以进行持久访问。
零日攻击的工作原理是从登录Google帐户的Chrome配置文件中提取令牌和帐户ID。被盗信息包括服务(GAIAID)和encrypted_token。威胁行为者使用存储在Chrome的“本地状态”文件中的加密密钥来解密被盗的令牌。这些解密的令牌与MultiLogin端点配对,允许威胁行为者重新生成过期的Google服务cookie。它可以有效地维持对受感染帐户的持久访问。
如果用户重置其Google密码,威胁参与者只能重新生成身份验证cookie一次。但是,如果密码保持不变,他们可以重复重新生成它。值得注意的是,包括Lum、Rhadanthys、Stealc、Medusa、RisePro和Whitesnake在内的多种信息窃取恶意软件都采用了此漏洞。这些恶意软件变体声称能够使用API端点重新生成Googlecookie。它对用户帐户安全构成重大威胁。
尽管该漏洞已被揭露和演示,但谷歌尚未正式确认MultiLogin端点的滥用情况。这种情况引发了人们对开采规模和缓解措施缺乏的担忧。该漏洞被多个恶意软件家族采用,凸显了Google迫切需要解决和修补这个零日漏洞。这是该过程的快速演示。
标签: